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摘要 :提出 了 一 种 基于 分 形 与 自 适 应 数据 融合 的 P2P 僵尸 网 络 检测 方法 。 构 建 单 分 形 特 性 多 分 形 特性 检测 传 感 

器 ,利用 大 时 间 尺 度 下 的 自 相 似 性 和 小 时 间 尺 度 下 的 局 部 奇异 性 刻画 网 络 流量 特征 ,利用 Kalman 滤波 器 检测 上 

述 特 性 是 否 异常 。 为 获得 更 精确 的 检测 结果 ,提出 了 一 种 自 适应 数据 融合 方法 ,根据 证 据 冲 突 程度 自 适 应 得 选择 

DST ( Dempster-Shafer Theory ) , DSmT ( Dezert-Smarandache Theory ) 对 上 述 检测 结果 进行 融合 。 而 且 , 考 虑 到 了 

P2P 应 用 对 检测 的 影响 。 实 验 结果 表明 该 方法 检测 准确 度 较 高 。 
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P2P botnet detection method based on fractal and adaptive data fusion 


SONG Yuan-zhang, LI Hong-yu, CHEN Yuan, WANG Jun-jie 
( Changchun Institute of Optics, Fine Mechanics and Physics, Chinese Academy of Sciences, 
Changchun 130033, Jilin, China) 


Abstract: A novel P2P botnet detection algorithm based on fractal and adaptive data fusion was proposed. Firstly, it 
built the single-fractal detection sensor and the multi-fractal detection sensor, and they used the self-similarity under the 
large time scale and the local singularity under the small time scale to describe the characteristics of network. Kalman 
filter was used to detect abnormalities of the above characteristics. To get the more accurate detection result, an adaptive 
data fusion method based on DST ( Dempster-Shafer Theory) and DSmT ( Dezert-Smarandache Theory) was proposed. 
Depending on the conflict factor of evidences, DST and DSmT were adaptively utilized to fuse the results of two above 


detection sensors to get the final result. The side effects on detecting P2P botnet which P2P programs generated are con- 


sidered. The experiments show that the proposed algorithm is able to detect P2P botnet with high accuracy. 
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僵尸 网 络 (botnet) 是 一 种 由 大 量 恶意 主机 组 成 
的 网 络 ,攻击 者 (botmaster) 可 以 通过 僵尸 网 络 的 二 
次 注入 过 程 对 主机 节点 的 负载 进行 重 注 ,这 样 可 以 
较 容易 地 更 改 攻击 类 型 。 随 着 构建 僵尸 网 络 技术 的 
发 展 ,基于 P2P 网 络 的 非 集中 式 结 构 被 用 来 构建 新 
型 僵尸 网 络 ,这 种 结构 是 分 散 的 ,没有 集中 的 控制 中 
心 , 可 有 效 避 免 针 对 单 点 失效 的 抑制 手段 ,具有 更 高 
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的 可 靠 性 、 健 壮 性 。P2P 僵尸 网 络 检测 是 当前 网 络 
和 信息 安全 领域 的 热点 ,相关 研究 分 析 如 下 。 

王 志 等 中 在 对 bot 程序 执行 轨迹 进行 分 析 的 基 
础 上 ,提出 了 一 种 发 掘 僵尸 网 络 控制 命令 集合 的 方 
法 ,对 bot 程序 覆盖 率 特征 进行 分 析 , 获 得 其 执行 轨 
迹 ,进而 实现 僵尸 网 络 控制 命令 空间 的 发 据 。 

减 天 宁 等 中 对 已 知 僵尸 网 络 内 部 通信 行为 进 
行 特征 提取 ,并 利用 这 些 特征 定义 云 模型 ,进而 分 析 
判断 已 知 bot 主机 群 的 隶属 关系 。 

Holz 等 器 在 深入 分 析 Storm 机 理 的 基础 上 提 
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出 了 一 种 遏制 僵尸 网 络 的 方法 ,通过 发 布 虚假 的 
key 扰乱 命令 与 控制 机 制 (Command and Control, 
C&C) 从 而 达到 遏制 僵尸 网 络 规 模 扩 大 的 目的 。 

在 协同 检测 方面 , 王 海 龙 等 所 提出 的 协同 检测 
模型 可 以 在 信息 .特性 和 决策 3 个 层次 进行 协同 , JC 
天 宁 等 所 提出 的 协同 检测 模型 可 以 分 析 各 种 安全 
事件 之 间 隐 藏 的 关联 关系 ,即使 它们 发 送 的 地 理 位 
置 不 同 .时间 段 不 同 。 

文献 [6-9 深入 分 析 和 总 结 了 僵尸 网 络 演化 和 
发 展 进程 ,对 检测 防御 .遏制 等 方面 深入 地 研究 和 
展望 ,并 对 当前 僵尸 网 络 相关 研究 提出 了 相应 建议 。 

综 上 所 述 ,当前 P2P 僵尸 网 络 检 测 研 究 以 下 几 
个 问题 或 需 分 析 和 研究 : 

(1) 大 部 分 方法 主要 关注 于 P2P 僵尸 网 络 特 
有 的 特性 。 当 出 现 新 型 的 网 络 结构 、 网 络 协议 和 攻 
击 负载 类 型 时 ,这 些 方法 将 不 再 使 用 , 漏 报 率 较 高 ; 

(2) 大 部 分 方法 未 考虑 网 络 场景 中 正常 运行 的 
P2P 应 用 对 检测 的 影响 。P2P 僵尸 网 络 和 P2P 应 用 
具有 比较 相似 的 的 流量 特征 ,本 质 上 P2P 僵尸 网 络 
是 一 种 “恶意 ”的 P2P 网 络 , 若 忽略 了 网 络 场景 中 正 
稼 运行 的 P2P 应 用 对 检测 的 影响 , 则 误 报 率 较 高 ; 

(3) 大 部 分 方法 进行 僵尸 网 络 检测 时 使 用 数据 
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挖掘 、 机 器 学 习 等 方法 Ls ELSE HACER a d RC 
验 知识 对 分 类 器 事先 训练 ,检测 效率 不 理想 。 

本 文 提出 一 种 基于 分 形 与 自 适 应 数据 融合 的 
P2P 僵尸 网 络 检测 方法 : 

(1) 本 文 方法 主要 关注 其 “共有 ”异常 ,从 网 络 
流量 的 内 在 特性 出 发 ,将 网 络 流量 看 作 信 号 进行 处 
理 ,利用 分 形 理 论 综合 分 析 网 络 流量 在 不 同时 间 尺 
BE .不 同 视角 下 的 特性 ,利用 这 些 特性 的 异常 来 检测 
僵尸 网 络 ,因为 上 述 特性 不 依赖 于 特定 类 型 的 僵尸 
网 络 ,所 以 当 出 现 新 型 的 网 络 结构 、 网 络 协 议和 攻击 
负载 类 型 时 ,本 文 方法 仍然 能 进行 有 效 检测 ; 

(2) 本 文 方法 详尽 考虑 了 网 络 场 景 中 正常 运行 
的 P2P 应 用 对 检测 的 影响 ; 

(3) 本 文 方法 利用 自 适 应 数据 融合 方法 对 检测 
结果 进行 决策 级 数据 融合 ,无需 大 量 历史 数据 、 先 验 
知识 ,并 可 通过 积累 证 据 缩小 假设 集 。 









































1 P2P 僵 尸 网 络 检测 方法 
L1 检测 方法 概述 


基于 分 形 与 自 适 应 数据 融合 检测 P2P 僵尸 网 
络 的 处 理 过 程 , 见 图 1。 


Z | : 

:分 | 过 滤 掉 已 知 的 网 络 应 用 | 

: : : 程序 相关 的 TCP 包 

de 根据 TCP 长 包 特性 对 异常 
:| 。 产生 原因 区 分 处 理 
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图 1 本 文 检测 方法 
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Fig.1 Process of the detection method 
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(1) 构建 单 分 形 特性 检测 传 感 骨 和 多 分 形 特性 
检测 传感器 ,用 来 检测 网 络 流量 在 大 时 间 尺 度 下 的 
自 相 似 性 和 小 时 间 尺 度 下 的 局 部 奇异 性 是 否 异常 ; 

(2) 为 获得 更 精确 的 决策 级 数据 融合 结果 ,在 
分 析 现 有 方法 的 基础 上 提出 了 一 种 自 适应 数据 融合 
方法 ,根据 证 据 冲突 程度 的 不 同 自 适 应 得 选择 
DST,DSmT 对 上 述 检测 传感器 的 检测 结果 进行 决 
策 级 数据 融合 :对 于 弱 冲 突 证 据 利 用 DST 进行 融 
合 ,对 于 强 弱 冲突 证 据 利 用 DSmT 进行 融合 ; 

(3) 鉴于 P2P 僵尸 网 络 和 P2P 应 用 流量 特征 
相似 ,利用 TCP 包 的 特征 对 异常 产生 原因 区 分 ; 

(4) 获得 最 终 检测 结果 。 

1.2 构建 流量 异常 检测 传感器 

分 形 通 常 指 一 个 粗糙 或 零碎 的 几何 形状 ,可 以 
分 成 若干 个 部 分 ,并且 每 一 部 分 都 (至 少 近 似 地 ) 是 
整体 缩小 后 的 形状 。 分 形 一 般 具 有 以 下 特征 : 

(1) 在 任意 小 尺度 上 都 有 精细 结构 ; 

(2) 太 不 规则 ,以 至 于 无 论 是 整体 还 是 局 部 都 
难以 用 传统 欧式 几何 来 描述 ; 

(3) 具有 近似 的 或 统计 的 自 相似 形 式 。 

研究 表明 网 络 流量 存在 分 形 特性 ,具体 表现 为 
大 时 间 尺 度 下 的 自 相 似 性 ( 单 分 形 特性 ) 和 小 时 间 
尺度 下 的 局 部 奇异 性 (多 分 形 特性 ) 吕 。 经 分 析 可 
知 ,P2P 僵尸 网 络 爆 发 时 会 导致 PP 包 大 量 增加 ,使 
得 大 时 间 尺 度 下 自 相 似 性 和 小 时 间 尺 度 下 的 局 部 奇 
异性 发 生变 化 ,因此 可 构建 相应 流量 异常 检测 传 感 
器 ,根据 上 述 特性 刻画 网 络 流量 特征 并 通过 利用 
Kalman 滤波 器 检测 是 否 存在 异常 。 

1.2.1 单 分 形 特 性 检测 传感器 

单 分 形 特性 检测 传感器 用 来 检测 网 络 流量 在 大 
时 间 尺 度 下 的 自 相 似 性 是 否 异 常 。 单 分 形 特性 
(Single-fractal ) 体现 的 是 网 络 流 量 在 大 时 间 尺 度 下 
的 自 相似 性 5 。 若 一 个 连续 时 间 随 机 过 程 (1) 
满足 




































































X(at) 2a"X(t) Va»0, (1) 
Jug XORA BABIES Hip. 2% H EROS Hurst 
HA ,描述 过 程 的 自 相 似 性 ,0. 5 H1, Hurst 指数 
值 越 接近 0. 5 , 自 相似 程度 越 低 。 经 分 析 可 知 ,P2P 
僵尸 网 络 爆 发 时 会 导致 网 络 流量 的 自 相 似 性 减弱 ， 
从 而 导致 Hurst 指数 的 值 减 小 。 针 对 Hurst 指数 佑 
AX Jrik 4) Wr 3C! , R/S 法 (Rescaled Range) 受 品 
声 等 因素 影响 较 小 且 计 算 量 较 小 ,所 以 本 文采 用 该 
方法 计算 Hurst 指数 。 
1.2.2 多 分 形 特性 检测 传感器 
多 分 形 特 性 检测 传感器 用 来 检测 网 络 流量 在 小 
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时 间 尺 度 下 的 局 部 奇异 性 是 否 异 常 。 一 个 维 数 无 法 
描述 非 均匀 分 形 过 程 的 全 部 特征 ,应 采用 多 重 分 形 
测度 或 维 数 的 连续 谱 进行 描述 。Riedi 等 "对 TCP 
流量 分 析 发 现 : 自 相 似 性 只 是 流量 分 形 特 性 的 一 个 
方面 ,在 较 小 时 间 尺 度 上 流量 表现 出 更 为 复杂 的 变 
化 规律 ,特别 是 局 部 奇异 性 和 突 发 性 。 多 分 形 特性 
( Multi-fractal) 延伸 和 细 化 了 网 络 流量 的 自 相似 性 
行为 ,可 以 更 灵活 地 描述 局 部 时 间 内 的 不 规则 现象 。 
若 一 个 连续 时 间 随 机 过 程 X(7) 满 足 
X(at) 2a"? X(t) Va»0, (2) 
则 称 一 个 连续 时 间 随 机 过 程 X (1) 是 多 重 分 形 的 。 
HF, H(t) KH Holder 指数 ,描述 过 程 的 局 部 奇异 
性 和 突 发 性 。 若 Holder 指数 <1, 则 表示 时 间 随 机 
过 程 在 某 点 周围 的 小 区 间 内 的 所 有 尺度 上 都 有 较 高 
程度 的 突 发 ; 若 Holder 指数 > 1 , 则 表示 时 间 随 机 过 
程 变 化 较 平缓 , 突 发 不 明显 。 经 分 析 可 知 ,P2P £P 
网 络 爆 发 时 会 导致 网 络 流量 的 局 部 奇异 性 增强 ,从 
而 导致 Holder 指数 的 值 减 小 。Holder 指数 的 计算 
方法 见 式 (3)"]。 对 于 某 一 随机 过 程 X(7) ,表示 到 
t 时 刻 为 止 网 络 中 人 P 包 的 数目 ,将 X(0),…,X(7) 分 
配 到 车 干 子 区 间 中 , 子 区 间 的 长 度 为 4, 则 
ve( x(1* 7) -x(-2)1) 
log( d) E 
(3) 
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1.2.3. 利用 Kalman 滤波 器 检测 异常 
Kalman 滤波 器 是 信号 处 理 领域 中 使 用 最 广泛 
的 时 间 序 列 预测 方法 ,由 时 间 更 新 方程 和 测量 更 新 
方程 组 成 ”1 。 
(1) 时 间 更 新 方程 
X -1 =AX ,* BU, ,, (4) 
式 (4) 中 Ui 为 1-1 时 刻 系统 的 控制 量 ,4 和 B 为 
系统 和 参数, 和,_11,_1 为 1-1 时 刻 的 后 验 状态 估计 ， 
X41 为 1 时 刻 的 先 验 状态 估计 。 
Pi =AP, 4 +Q, (5) 
A(S) rP Pau i 为 竺 ,11-1 的 后 验 估计 误差 协 方差 ， 
Pi,_1 为 1,_1 的 先 验 估计 误差 协 方差 ,0 是 噪声 协 
方差 。 
(2) 测量 更 新 方程 








t-1lt-— 











P, HT 
Xj, 7X4 * HP mar Bes. 
tlt-1 
(6) 
P,,2|I P.H H |P (7) 
üt HP HË +R tlt-1 9 


tlt—1 


A) P Z, 为 测量 值 ,为 测量 系统 的 参数 ,R 为 
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测量 噪声 协 方差 , 式 (7) 中 了 为 单位 和 矩阵。 将 表征 
自 相 似 性 的 Hurst 指数 Hurst, .表征 局 部 奇异 性 的 
Holder 指数 Holder, 作为 测量 值 , 利 用 Kalman 滤波 
器 得 到 相应 的 后 验 状 态 估计 Ra, Rae, o 
1.3 自 适 应 数据 融合 

决策 级 数据 融合 方法 主要 有 贝 叶 斯 方法 和 
Dempster-Shafer 理论 (DST) ,其 中 被 广泛 使 用 的 方 
法 为 DST, 但 是 其 仍 有 许多 局 限 性 , Dezert-Smaran- 
dache 理论 (DSmT) 是 近来 备 受 关注 的 静态 融合 和 
动态 融合 方法 , 它 虽 然 弥 补 了 DST 的 局 限 性 ,但 其 
计算 量 较 大 。 在 分 析 DST 和 DSmT 的 基础 上 ,本 文 
提出 了 一 种 自 适 应 数据 融合 方法 ,将 检测 结 
Raus Raoas 进行 决策 级 数据 融合 后 得 到 检测 结果 
RF,, 
1.3.1 DST 

设 U0 为 随机 变量 X 取 值 的 论 域 ,各 UV 内 所 有 元 
素 互 不 相 容 称 , 则 U0 为 DST 中 随机 变量 X 的 识别 
框架 。 设 识别 框架 为 U= 10,,0,,…,0,| ,2 为 的 
寡 集 , 若 对 于 函数 m:2” 一 [0,1] 满 足 如 下 条 件 : 












































(1) m(Ø) =0; (8) 
(2) > m(A) =1, (9) 


则 称 m(4) 为 4 的 基本 信 度 赋值 函数 。 
设 识别 框架 U 上 有 2 个 相互 独立 的 证 据 ,与 之 
相应 的 基本 信 度 赋值 为 mw 和 mm ,与 之 相应 的 焦 元 
ÀJ Ans A AIB, vs B, , JU] Dempster HA HUU IL 
(10) JEP K AWRAT, 
Y, m (A;)m(B,) 


Ai,Bie2U 











m(X) = (nih (10) 
IE X x 0, 
0 X = Ø; 
K= Y, m(A)m(B). (11) 
A;,B;e2U 
Aj B; =Ø 
1.3.2 DSmT 


对 于 DST, 当 直接 使 用 Dempster 组 合 规则 对 强 
冲突 (冲突 因子 K 趋 近 1) 的 证 据 进 行 融合 时 在 茶 些 
情况 下 会 出 现 有 悖 常理 的 结果 '” 。 为 解决 上 述 问 
题 ,当前 主要 有 两 种 方法 :第 一 种 方法 为 在 DST HE 
架 下 对 Dempster 组 合 规则 进行 改进 ,例如 Murphy 
组 合 规则 、Smets 组 合 规则 , Yager 组 合 规则 .Dubois- 
Prade 组 合 规则 等 ;第 二 种 方法 为 提出 全 新 的 组 合 规 
则 ,例如 DSmT。 它 对 证 据 的 冲突 项 进行 了 保留 ,将 
它们 作为 信息 融合 的 焦 元 ,并 对 冲突 进行 了 重新 地 
分 配 。 男 一 方面 ,DST 要 求 识别 框架 中 的 元 素 互 不 
相 容 ,而 DSmT 不 要 求 识别 框架 中 的 元 素 互 不 相 
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容 , 它 引入 了 不 确定 性 的 概念 ,因此 当 识 别 框架 中 元 
素 之 间 的 界限 模糊 、 不 确定 、 不 精确 且 难 以 细 分 时 ， 
DsmT 亦 可 充分 发 挥 其 优势 。 

总 之 ,DSmT 是 DST 的 一 种 扩展 , 相 比 于 DST 
TR 2", DSmT 是 基于 Dedekind 格子 模型 D" 建立 
的 识别 框架 的 超 寡 集 作为 数据 融合 空间 。 设 识别 框 
J8 U,D" 为 Q=10 ,0 0, 的 超 宕 集 , 若 对 于 函 
数 m:D" 一 [0,1] 满 足 如 下 条 件 : 











(1) m(9) -0; (12) 
(2) 2, m(A) =l; (13) 


WEK mCA) 为 4 的 广义 基本 信 度 赋值 函数 。 
当 处 理 某 些 需 要 考虑 已 知 约束 的 融合 问题 时 使 
用 混合 DSm 组 合 规则 , RIER U Efi n(nz 2) 
个 相互 独立 的 证 据 , 混 合 DSm 组 合 规则 见 式 (14) 。 
m(X) 28(A)[S, (A) +S,(A) + $(A)], 
(14) 








0, A 为 空 集 或 由 于 约束 条 件 





5(A) = 而 强制 转换 为 空 集 的 集合 ，(15) 
1,A¢9%, 

Si1(A) = > Ilo, (16) 

S (4) = 


XI1,X2，…, KE 
[u(X1) U*-Uu(X4) =A] V[ u(X1) U= Uu(Xg) EØ) A(A 2000090004] 


I "Oo. (17) 


>  [eoxo. a8) 


XQ,X9,,X,eDU i=1 
(X(UX3U--UX;) =A 
XjnX3n-- 0X, =Ø 


其 中 ,5(4) 为 集合 4 的 特征 非 空 函数 ,9 (A) 表示 
基于 自由 DSm 模型 的 天 个 相互 独立 证 据 的 经 典 
DSm 组 合 规则 ,$ CA) 表示 将 所 有 相对 和 绝对 的 
空 集 的 信和 度 质 量 传递 给 总 的 或 相对 的 未 知 集 ， 
S: (4) 表 示 将 相对 于 空 集 的 信和 度 质 量 之 和 传递 给 非 
1.3.3 DST 与 DSmT 自 适 应 数据 融合 方法 

在 弱 冲 突 情 况 下 利用 DST 进行 融合 是 普遍 认 
为 非常 有 效 的 方法 所 1 ,在 强 冲 突 \、 信 息 模糊 情况 下 
利用 DSmT 进行 融合 可 以 有 效 解 决 冲突 分 配 的 问 
题 ,获得 比 DST 更 优 的 融合 结果 ,但 DSmT 计算 量 
和 存储 量 大 , 且 在 弱 冲 突 情 况 下 效果 不 如 DST。 本 
文 提出 了 一 种 自 适应 数据 融合 方法 ,根据 冲突 程度 
自 适应 得 选择 DST .DSmT 进行 融合 , 见 图 2。 
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对 弱 冲 突 证 据 利 用 DST 进 行 融 合 | | 对 强 冲 突 证 据 利 用 DSmT 进 行 融合 


得 到 决策 结果 











图 2 DST 5 DSmT 自 适应 数据 融合 
Fig.2 Adaptive Data Fusion of DST and DSmT 








设 识别 框架 U = [0 ,0,,…,0,}: 
(1) 根据 式 (11) 计 算 冲 突 因 子 K,3F WIE BÀ FH 
Thsion; 

(2) 4i KZ Thso( 强 冲突 ) , 则 根据 式 (14) 利 用 
DSmT 进行 融合 。 否 则 ,根据 式 (10) 利 用 DST 进行 
融合 。 

经 分 析 可 知 ,对 于 不 同类 型 的 证 据 , 浆 值 应 不 
同 ,甚至 可 能 是 多 个 变化 的 点 或 区 间 。 针 对 该 问 
题 ,本 文 不 再 深入 探讨 ,为 简化 计算 量 , Tuus, = 
0.70, 

1.4 异常 产生 原因 区 分 

从 网 络 结构 .流量 构成 的 角度 上 分 析 ,P2P 僵尸 
网 络 是 一 种 “恶意 ”的 P2P 网 络 ,因此 上 述 异 常 也 可 
能 是 正常 P2P 应 用 的 运行 引起 的 。 分 析 P2P 应 用 
的 机 制 和 P2P 僵尸 网 络 的 生命 周期 可 知 :P2P 应 用 
常 利用 长 度 超过 1 300 FAY TCP 进行 数据 传 
输 ,P2P 僵尸 网 络 通常 利用 TCP 包 进 行 二 次 注入 ， 
两 者 的 TCP 包 的 长 度 有 较 大 差异 。 设 TCP 包 的 数 
量 为 N, 长 度 超过 1 300 字 节 的 TCP 的 数量 为 N, 
利用 TCP 长 包 的 比例 Pr 实现 异常 产生 原因 的 区 
分 ,具体 过 程 见 图 3, 其 中 DPI( Deep Packet Inspec- 
tion) 详 见 文献 [25 ]。 设 当前 时 刻 为 1, 定 义 函 数 
1 Pr«Tq 
0 Prz=Tice 

M Pr« Tree 时 ,上 述 流量 异常 是 由 P2P 僵尸 网 
络 导致 的 可 能 性 更 大 。 可 根据 网 络 场景 的 不 同 利用 
Kaufman 算法 “对 Tree 进行 不 同 设 定 。 
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属于 已 知 P2P 应 用 ， 
壁 如 Thunder,BT,Skype 等 


TCP 包 是 否 全 部 处 理 完 蛙 3 





Y 
Pr=N,/N 


图 3 TCP 包 处 理 过 程 
Fig.3 Process of TCP Flow 
1.5 检测 方法 处 理 过 程 
设 当 前 时 刻 为 1, 基 于 分 形 与 自 适应 数据 融合 检 
测 P2P 僵尸 网 络 的 处 理 过 程 为 : 
(1) 分 析 网 络 流量 的 分 形 特 性 
CD 利用 单 分 形 特性 检测 传感器 检测 网 络 流量 
在 大 时 间 尺 度 下 的 自 相 似 性 是 否 存在 异常 :利用 基 
于 滑动 窗口 的 估算 Hurst 指数 的 方法 得 到 Hurst, ,将 
Hurst, 作为 Kalman 滤波 器 的 测量 值 检测 网 络 流量 
自 相 似 性 特征 的 异常 ,得 到 检测 结果 Rus 3 
D 利用 多 分 形 特性 检测 传感器 检测 网 络 流量 
在 小 时 间 尺 度 下 的 局 部 奇异 性 是 否 存在 异常 :估算 
Holder 指数 Holder, ,将 Holder, 作为 Kalman 滤波 器 
的 测量 值 检测 网 络 流量 局 部 奇异 性 特征 的 异常 ,得 
到 检测 结果 Roaer,; 
(2) 利用 自 适应 数据 融合 进行 决策 级 数据 融 
合 , 得 到 检测 结果 RF, ; 
(3) 计算 得 到 TCP 流 的 RD, 值 ,以 在 一 定 程度 
上 减弱 P2P 应 用 对 检测 的 误差 影响 ; 
(4) 利用 加 权 平 均 法 获得 最 终结 果 。 
R,=a, * RF, * B, * RD,, (20) 
a, tB, 21, 
设 判 决 P2P f P Fl ER AZ BU BEN Tas oti R, > 
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Taso , 则 P2P fL 网 络 爆发 , 可 根据 网 络 场景 的 不 
同 利 用 Kaufman 算法 5 对 Ts 进行 不 同 设 定 。 


2 实验 与 分 析 


2.1 实验 环境 

实验 数据 由 两 部 分 组 成 :第 一 部 分 为 正常 场景 
的 网 络 数据 ,来 自 于 某 信 息 中 心 网 络 服务 器 ;第 二 部 
分 为 P2P 僵尸 网 络 流量 数据 ,来 自 于 采用 虚拟 机 
( Virtual Machine, VM) 技术 参照 文献 [27] 建立 的 
实验 环境 , 见 图 4。 为 仿真 大 规模 网 络 使 用 场景 , 利 
用 VM 工具 在 物理 计算 机 上 安装 寿 干 个 虚拟 计算 
机 ,在 作为 关键 节点 的 虚拟 计算 机 上 安装 网 络 数据 
包 分 析 工具 进行 数据 包 采 集 和 分 析 。 在 实验 开始 一 
定时 间 后 向 某 些 虚拟 机 注入 Storm bot 程序 。 本 文中 
VM 工具 采用 Virtualbox ,优点 为 配置 方便 、 占 用 资源 
少 、 迁 移 性 强 ; 网 络 封 包 分 析 工 具 采 用 Wireshark , 优 
点 为 协议 支持 全 面 细节 丰富 ,支持 数据 重组 。 
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合法 的 VM 





图 4 实验 环境 
Fig.4 Experiment Environment 

2.2 单 分 形 特性 实验 

本 实验 主要 观测 单 分 形 特性 ,正常 网 络 场景 中 网 
络 流量 呈现 较 明显 的 自 相 似 性 。 分 析 图 5 可 得 ,在 注 
入 Storm bot 程序 后 Hurst 指数 从 t=420s 开始 减 小 ， 
说 明 自 相似 性 开始 减弱 ,表示 网 络 流量 出 现 异常 。 随 
着 P2P 僵尸 网 络 规模 逐渐 扩大 ,网 络 流量 呈现 一 种 新 
的 “病态 ”的 自 相 似 性 行为 ,使 得 Hurst 指数 增 大 。 








Hurst 
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到 5 Hurst 指数 
Fig.5 Hurst exponent 
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2.3 多 分 形 特性 实验 

本 实验 主要 观测 多 分 形 特 性 ,正常 网 络 场 景 中 
网 络 流量 呈现 较 明 显 的 局 部 奇异 性 。 分 析 图 6 可 
得 ,在 一 段 时 间 注 入 Storm bot 程序 后 ,Holder 指数 
开始 减 小 ,表明 网 络 流量 局 部 奇异 性 程度 增加 ,出 现 
了 异常 。 自 相似 性 体现 的 是 大 时 间 尺 度 下 的 相关 
性 ,需要 经 过 在 botnet 爆发 后 一 段 时 间 的 数据 积累 
才 会 发 生变 化 ,而 局 部 奇异 性 体现 的 是 小 时 间 尺 度 
下 的 突 发 性 ,在 botnet 爆发 较 短 时 间 后 就 会 发 生变 
化 ,虽然 Holder 指数 比 Hurst 指数 敏感 ,但 是 容易 造 
成 误 判 。 因 此 采用 决策 级 数据 融合 的 方法 综合 考虑 
自 相 似 性 和 局 部 奇异 性 的 变化 ,在 降低 漏 报 率 的 同 
时 也 降低 误 报 率 。 
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图 6 Holder 指数 
Fig.6 Holder exponent 


2.4 检测 准确 度 实验 

为 测试 本 文 方法 在 不 同情 况 下 的 检测 准确 度 ， 
本 实验 选择 4 种 数据 ,并 将 本 文 方法 与 表 1 中 方法 
进行 对 比 ,检测 结果 见 表 2。 
第 1 组 实验 数据 来 自 某 信息 中 心 网 络 服务 器 ， 
本 文 方法 的 检测 结果 与 真实 情况 比较 接近 。 
第 2 组 实验 数据 来 自 某 信息 中 心 网 络 服务 融 中 
含有 P2P 应 用 的 正常 网 络 环境 。 比 较 第 1 组 和 第 2 
组 实验 数据 ,发 现 对 异常 原因 进行 相应 区 分 处 理 是 
必要 的 ,本 文 方法 可 以 有 效 地 降低 P2P 应 用 对 僵尸 
网 络 检测 的 影响 , 误 报 率 相对 较 低 。 

将 第 1 组 实验 数据 与 采集 的 P2P 僵尸 网 络 流 
量 数据 参照 文献 [28 ] 中 方法 合并 后 获得 第 3 组 实 
验 数据 ,本 文 方法 的 漏 报 率 较 低 。 

将 第 2 组 实验 数据 与 采集 的 P2P 僵尸 网 络 流 
量 数据 参照 相同 方法 合并 后 获得 第 4 组 实验 数据 ， 
本 文 方法 的 检测 结果 比较 理想 。 利 用 分 形 理论 综合 
考虑 多 种 网 络 内 在 特性 来 刻画 网 络 变化 的 细节 , 同 
时 观测 网 络 流量 在 大 时 间 尺 度 下 的 长 相关 性 和 在 小 
时 间 尺 度 下 的 局 部 奇异 性 ,通过 利用 Kalman 滤波 
器 检测 上 述 特性 的 变化 ,并 利用 自 适 应 数据 融合 方 
法 进行 决策 级 数据 融合 ,同时 考虑 到 了 网 络 场景 中 
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正常 运行 的 P2P 应 用 对 检测 的 影响 。 其 中 ,“1 018 
(873 )” 表 示 针 对 第 4 组 实验 数据 ,本 文 方法 总 共 检 
表 1 实验 涉及 检测 方法 概述 


Table 1 Overview of detection method 


序号 方法 名 称 方法 概述 


测 到 了 1018 次 攻击 .873 次 是 真正 的 攻击 。 












































































































































I — M-CUSUMP" 通过 多 维 CUSUM 算法 检测 数据 包 数量 的 异常 变化 来 检测 价 己 网 络 。 

， kcpupu 抽取 网 络 流量 多 个 特征 构成 多 维 观测 序列 ,利用 Kalman 滤波 器 检测 流量 的 异常 变化 ,利用 Multi- 
chart CUSUM 对 每 个 维度 的 检测 结果 进行 融合 。 

3 SF 仅 利用 单 分 形 特性 刻画 网 络 流量 特征 ,利用 Kalman 滤波 器 检测 流量 的 异常 变化 。 

4 MP 仅 使 用 多 分 形 特性 刻画 网 络 流量 特征 ,利用 Kalman 滤波 器 检测 流量 的 异常 变化 。 
利用 大 时 间 尺 度 下 的 自 相似 性 和 小 时 间 尺 度 下 的 局 部 奇异 性 描述 网 络 的 内 在 特性 ,同时 考虑 到 

5 ”本文 方法 了 网 络 场景 中 正常 运行 的 P2P 应 用 对 检测 的 影响 ,利用 自 适应 数据 融合 方法 对 检测 结果 进行 合 




















理 有 效 地 融合 。 

















表 2， 漏 报 率 和 误 报 率 数据 对 比 


Table 2 False negative rate and False positive rate 











序号 ”实验 数据 说 明 真实 情况 M-CUSUM KCFM SF MF 本 文 方法 
1 正常 0 24 10 16 19 5 
2 正常 + P2P 0 122 74 41 49 10 
3 正常 +bot 1000 764 758 732 893 885 
4 正常 + P2P + bot 1 000 1 269(784) 1 247 (823) 1 546 (796) 1 693 (815) 1 018 (873) 
ZANG Tianning, YUN Xiaochun, ZHANG Yongzheng, 
3 结 论 et al. A botnet relationship analyzer based on cloud model 


[J]. Geomatics and Information Science of Wuhan Uni- 
versity, 2012 (37) :247-251. 
[3] HOLZ T, STEINER M, DAHL F. Measurements and 


在 分 析 P2P 僵尸 网 络 的 典型 代表 Storm 的 生命 
周期 和 流量 特征 基础 上 ,提出 了 一 种 基于 分 形 与 自 
适应 数据 融合 的 P2P botnet 检测 方法 。 利 用 分 形 理 
论 构 建 2 个 检测 传感器 以 检测 网 络 流量 在 大 时 间 信 Scale Exploits and Emergent Threats San Francisco. 
度 下 的 自 相似 性 和 小 时 间 尺 度 下 的 局 部 奇异 性 是 否 
异常 。 为 取得 更 好 的 数据 融合 结果 ,在 对 贝 叶 斯 方 。 [4] 王 海 龙 , 胡 宁 , BEE. Bot CODA: 僵尸 网 络 协同 检 





mitigation of Peer-to-Peer-based botnets: a case study on 


storm worm [ C ]// 1st USENIX Workshop on Large- 


























ik DST 和 DSmT 分 析 的 基础 上 ,提出 了 一 种 自 适 
应 数据 融合 方法 ,根据 证 据 冲 突 程 度 不 同 自 适应 选 
f£ DST 和 DSmT 对 上 述 检测 传感器 的 检测 结果 进 
行 融合 。 同 时 ,鉴于 P2P 僵尸 网 络 和 P2P 网 络 的 流 
量 特征 相似 程度 较 高 ,利用 TCP 流量 特征 在 一 定 程 
度 上 对 引起 异常 的 原因 进行 区 分 处 理 。 下 一 步 工 作 
重点 :如 何 更 有 效 合理 得 对 DST 和 DSmT 进行 结合 
和 改进 ,如 何 更 有 效 地 消除 P2P 应 用 对 检测 的 影响 。 
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